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(57) Abstract 

The invention concerns a decoder comprising an access control module 
(CA) capable of recovering on a smart card inserted in the decoder an 
identification parameter (AD) of the card and setting up a filter configuration 
for selecting, in the data flow received by the decoder, the entitlement 
management messages (EMM) addressed to the inserted smart card. The 
decoder further comprises a rights storage module (MD) capable of storing 
the configuration set up by the module (CA) and reconstitute said filter 
configuration when it has been erased, after the smart card has been removed. 
The messages (EMM) addressed to the smart card can therefore be selected 
and stored, even when the latter is no longer in the decoder. 

(57) Abrege* 

Le decodeur comprend un module de controle d'acces (CA) capable 
de recuperer sur une carte a puce inseree dans le decodeur un parametre 
d' identification (AD) de la carte et de mettre en place une configuration de 
filtre permettant de s61ectionner, dans le flux de donnees recu par le decodeur, 
les messages de gestion des droits (EMM) destines a la carte a puce inseree. 
II comprend en outre un module de memorisation des droits (MD) qui est 
capable de memoriser la configuration mise en place par le module (CA) et 
de remettre en place cette configuration de filtre lorsque celle-ci est effacee, 
suite au retrait de la carte a puce. Les messages (EMM) destines a la carte 
a puce peuvent done fctre s61ectionnes et memorises, mfime lorsqu'elle ne se 
trouve plus dans le d6codeur. 
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WO 00/16557 PCT/FR99/02174 

DECODEUR DE SYSTEME A ACCES CONDITIONNEL ET PROCEDE DE 
CHARGEMENT DE DROITS D'UTILISATEURS DANS UN TEL 

DECODEUR. 

5 La presente invention concerne un decodeur de systeme d acc6s 

conditionnel et, plus particuli6rement, un procede de chargement des droits 
qu'un utilisateur peut acqu^rir pour acc6der d un service distribu6 au sein 
d'un systeme a acc6s conditionnel. 

Un systeme a acces conditionnel permet a un prestataire de 

10 services de ne fournir ses services qu'aux seuls utilisateurs ayant acquis des 
droits sur ces services. C'est le cas, par exemple, des systemes de television 
a peage. 

Comme cela est connu de I'homme de Tart, le service fourni par 
un prestataire de services est constitu6 d'une information embrouillee par 

is des mots de controle. Afin de desembrouiller reformation, le prestataire de 
services fournit a chaque utilisateur les mots de controle qui ont servi a 
embrouiller I'information. De fa?on a garder secrets les mots de controle, 
ceux-ci sont fournis apres avoir 6te chiffr^s avec un algorithme de cl6 K. Les 
differents mots de contrdle chiffres sont envoyes aux diff6rents utilisateurs 

20 dans des messages de controle communement notes ECM (I'abreviation 
ECM provient de I'anglais "Entitlement Control Message"). Les mots de 
controle sont dechiffres dans un processeur securise contenu dans un 
element de securite tel que, par exemple, une carte a puce. 

^information embrouillee ne peut etre desembrouillee, et done lue 

25 par un utilisateur, qu'a hauteur des droits attribues a cet utilisateur. Les droits 
de chaque utilisateur sont envoyes dans des messages de gestion des droits 
communement notes EMM (I'abreviation EMM est issue de I'anglais 
"Entitlement Management Message"). Le processeur securise permet de 
valider et d'enregistrer les droits qu'a I'utilisateur sur le service delivre. 

30 Selon un exemple de realisation connu de systeme a acces 

conditionnel, le prestataire de services fournit a chaque utilisateur une carte 
a puce et un decodeur. La selection des messages EMM s'effectue par la 
mise en place d'une configuration approprtee de filtres contenus dans le 
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decodeur. Cette configuration est mise en place a partir de la lecture, par 

des circuits du d§codeur, de donn6es contenues dans la carte £ puce. A 

cette fin, I'utilisateur est amene a introduire la carte a puce dans le d6codeur. 

Quand les messages EMM qui correspondent & la carte £ puce 
5 sont presents dans le signal que re?oit le decodeur, ils sont s6lectionnes a 

I'aide des filtres et transferes vers la carte a puce ou les droits 

correspondents sont mis a jour et m6moris6s. 

Les messages EMM sont emis, de fa?on asynchrone, avant 

1'emission du service embrouille auquel ils correspondent. Les droits 
10 utilisateur sont ainsi, par exempt tr6s souvent emis aux heures les plus 

creuses de la nuit. Par ailleurs, les droits utilisateur sont amenes a etre 

frequemment renouveles sans que I'utilisateur en ait la connaissance. 

II s'ensuit qu'un utilisateur qui desire pouvoir utiliser regulierement 

les services d'un prestataire se trouve pratiquement dans Pobligation de 
is laisser en permanence la carte & puce que lui a fourni le prestataire dans le 

decodeur pour que le transfert des messages EMM du decodeur vers la 

carte a puce puisse etre effectue des que possible. 

Un utilisateur qui est abonne £ plusieurs prestataires de services 

possede autant de cartes a puce qu'il a d'abonnements. Au cas ou les 
20 differents prestataires de services partagent le meme decodeur, on peut 

envisager de prevoir plusieurs lecteurs de cartes a puces differents sur le 

meme decodeur mais dans ce cas, cela augmente notablement le prix du 

decodeur. Dans le cas plus probable ou Tutilisateur possede plus de cartes a 

puces que de lecteurs de cartes disponibles sur son decodeur, il lui est alors 
25 quasiment impossible de gerer correctement son pare de cartes a puce pour 

acquerir des que possible Tensemble des droits auxquels il peut pretendre. 
L'invention vise a resoudre les problemes precites. 
Elle concerne a cet effet un decodeur de systeme a acces 

conditionnel comprenant : 
30 - au moins un dispositif destine a lire et/ou a ecrire des donnees 

dans un element de securite detachable fourni par un prestataire de service; 
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- des filtres destines d s6lectionner au moins un message de 
gestion des droits qu'un utilisateur poss&de sur un service fourni par le 
prestataire parmi un flot de donn^es re?u; et 

- un module de controle d'acces qui est capable de recevoir un 
5 param6tre d'identification contenu dans un element de s6curite ins6r6 dans 

le d6codeur; de mettre en place une configuration de filtre en fonction du 
parametre d'identification re?u de fa?on £ s6lectionner un message de 
gestion des droits destine a cet element de securite insert; et de transmettre 
ledit message audit element de securite insere. 

io Selon I'invention, le decodeur comporte en outre un module de 

m6morisation des droits qui est capable de memoriser la configuration de 
filtres mise en place par le module de controle d'acces precite; de remettre 
en place, suite a I'effacement de la configuration de filtres consecutive au 
retrait de I'element de securite, la configuration de filtres memorisee 

15 appropriee audit Element de securite, de fa?on a selectionner un message 
de gestion des droits destine audit Element de securite lorsque ce dernier est 
retire; et de memoriser ledit message dans une memoire du decodeur. 

Selon un autre aspect de I'invention, le module de memorisation 
des droits du decodeur est en outre capable de detecter Insertion d'un 

20 element de securite dans le decodeur; de verifier si un message de gestion 
des droits destine audit Element de securite insere est memorise dans la 
mSmoire du decodeur; et en cas de verification positive, de transferer ledit 
message memorise audit element de securite insere. 

Selon un mode de realisation prefere de I'invention, le module de 

25 memorisation des droits detecte I'insertion d'un element de s6curit6 dans le 
decodeur en enregistrant toute nouvelle mise en place de configuration de 
filtres par le module de controle d'acces. 

L'invention conceme egalement un proced6 de traitement de 
message de gestion des droits qu'un utilisateur possfede sur un service, ledit 

30 procede comprenant les etapes consistant a : 

- inserer un element de securite detachable dans un decodeur; 

- r6cuperer dans ledit element de securit6 un parametre 
d'identification; 
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- mettre en place une configuration de filtre du decodeur en 
fonction dudit parametre d'identification de fa$on a seiectionner un message 
de gestion des droits destine audit element de securite insere; 

- transmettre ledit message audit element de securite ins6re. 

5 Selon 1'invention, I'etape de mise en place de la configuration de 

filtre approprtee audit element de securite est suivie d'une etape de 
memorisation de ladite configuration et, lorsque ledit element de securite est 
retire du decodeur, provoquant I'effacement de ladite configuration de filtres, 
la configuration de filtres appropriee a ('element de securite retire est remise 
io en place d partir de la configuration memorisee lors de I'etape de 
memorisation de fa9on a seiectionner un message de gestion des droits 
destine audit element de securite retire. 

Selon un aspect pr6f6re de I'invention, le procede comporte une 
etape supplemental consistant a memoriser dans une memoire du 
is decodeur le message de gestion des droits destine a I'element de s6curit6 
retire lorsqu'un tel message est s6lectionn6. 

Selon un autre aspect de I'invention, le procede comporte en 
outre les etapes consistant a : 

- reinsurer I'element de securite dans le decodeur; 

20 - verifier si un message de gestion des droits destine audit 

element de securite insere est memorise dans la memoire du decodeur; et 

- en cas de verification positive, transferer ledit message 
memorise audit element de securite insere. 

Un avantage de I'invention est de permettre 1'acquisition de droits 
25 utilisateur sans que I'element de securite qui contient les donnees pour 
mettre en place la configuration de filtres permettant 1'acquisition de ces 
droits ne sort present dans le decodeur au moment de 1'acquisition. 

D'autres caracteristiques et avantages de I'invention apparaitront a 
la lecture d'un mode de realisation particulier, non limitatif, de I'invention fait 
30 en reference aux figures 1 a 4, parmi lesquelles: 

- la figure 1 represente un decodeur muni d'un element de 
securite selon I'invention; 
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- la figure 2 represente sch6matiquement un paquet de donn6es 
transportant un message de gestion des droits d'un utilisateur; 

- la figure 3 represente schematiquement les differents 
evenements et les differents transferts de donnees intervenant durant le 

5 proc6d6 de traitement des messages de gestion des droits utilisateur selon 
Tinvention; 

- les figures 4a a 4e illustrent differentes etapes du proc6d§ selon 

Tinvention. 

Sur toutes les figures, les memes references d6signent les 
io memes Elements. 

La figure 1 represente un decodeur de systeme a acc6s 
conditionnel permettant a un utilisateur chez qui il est install^ de recevoir des 
services, tels que des programmes televises, sous forme de flux 
d'information numerique code par exemple selon la norme MPEG 2 (ISO/IEC 
15 13818-1). 

Seuls les elements necessaires a la comprehension de Tinvention 
ont 6t6 represents a la figure 1 . 

Le decodeur comporte de mantere connue en soi un 
tuner/demodulateur 17 qui re?oit un signal S, issu d'une antenne satellite ou 
20 d'un reseau cable, et qui fournit en sortie un flux de donnees num6riques, 
transmis sous forme de paquets, appele TS (de Tanglais 'Transport Stream" 
signifiant "flux de transport") dans la norme MPEG 2 precitee, et contenant 
les services fournis par des prestataires. 

Les services etant transmis sous forme embrouillee, chaque 
25 prestataire de service fournit egalement a Tutilisateur une carte a puce 10 qui 
contient des elements secrets permettant de desembrouiller les services. 

Cette carte a puce 10 est destine a etre inseree dans un lecteur 
de carte a puce du decodeur dont on a represente uniquement Tinterface 12 
avec un microcontroleur 16 dans lequel sont executes les differentes 
30 applications du decodeur. 

Le decodeur comporte egalement une memoire 14 a laquelle le 
microcontrdleur 16 peut acceder en lecture ou en ecriture. 
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Enfin, le ctecodeur comprend un comppsant 20 appel6 
d6multiplexeur qui re?oit le flux de donnees TS pour en extraire les paquets 
de donn6es video ou audio correspondant 3 un service que I'utilisateur 
d6sire visualiser ou pour en extraire des paquets de donnSes contenant des 

5 informations dites "de service", telles que des messages EMM de gestion 
des droits utilisateur. 

Le demultiplexer 20 est compose de filtres 1 1 et d'une memoire 
tampon 18, appelee generalement "buffer". 

Les filtres sont formes, comme cela est connu de I'homme de Tart, 

10 d'ensembles de comparateurs recevant d'une part le flux de donnees TS et 
d'autre part une valeur de reference permettant d'identifier les paquets de 
donnees a extraire. Lorsque des paquets de donnees sont extraits du flux 
TS, ceux-ci sont stockes dans le buffer 18 avant d'etre utilises par les 
differentes applications du decodeur qui sont executees dans le 

15 microcontroleur 16. 

A la figure 2, on a represents un paquet de donnees contenant un 
message EMM de gestion des droits utilisateur. Comme tout paquet de 
donnees transports dans le flux TS, il comporte un identifiant : le PID (de 
I'anglais "Packet IDentifier"). suivi de donnees dites "privees". En effet, 

20 toutes les donnees concernant le controle d'acces sont specifiques au 
prestataire de service et ne sont pas definies dans la norme de transport des 
paquets de donn6es. 

Dans les donnees privees se trouve le message EMM proprement 
dit. Ce message se compose de trois Elements : 

25 - un premier element AD contenant I'adresse de la carte a puce a 

laqueile est destine le message EMM; il peut egalement s'agir d'une adresse 
correspondant a un groupe de cartes a puces auxquelles est destine le 
message EMM; 

- un second element contenant les droits de I'utilisateur 
30 (abonnement, jetons pour un achat impulsif de programme, etc.); et 

- un troisieme element SIGN permettant de valider le contenu du 
message EMM qui ne sera pas decrit plus avant. 
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Lorsqu'un message EMM destine d la carte a puce 10 qui est 
ins§ree dans le decodeur doit etre extrait du flux de donnees TS, il est done 
n6cessaire de configurer un filtre en lui fournissant comme valeur de 
inference le PID des paquets de donnees transportant les messages EMM 

5 et I'adresse de la carte a puce qui se trouve dans le decodeur. 

Dans la suite, on dira que Ton "met en place" ou que Ton "pose" 
une configuration de filtre pour signifier que Ton transmet a un filtre les 
parametres pr6cites (PID, adresse carte a puce) permettant de s6lectionner 
un message EMM destine a une carte a puce donnee. 

io Nous allons maintenant decrire plus en detail, en liaison avec les 

figures 3 et 4, le mecanisme de recuperation des messages EMM destines a 
une carte a puce donnee dans le flux TS re$u. 

Sur la figure 3, nous avons represents sous forme de rectangles 
les differentes ressources, partagees par toutes les applications du 

is decodeur, qui sont utiles a la comprehension de I'invention. Ces ressources 
partagees comprennent: 

- des filtres 111, qui correspondent aux filtres 1 1 de la figure 1 ; 

- un module lecteur de carte a puce 112 qui comprend a la fois 
une partie materielle (le circuit de lecture/ecriture sur la puce - ou circuit 

20 integre - de la carte) et une partie logicielle permettant de communiquer avec 
les autre applications du decodeur; 

- un module dit de recuperation des tables de signalisation 101 
qui est un logiciel capable d'extraire du flux TS des tables contenant des 
informations sur la structure et le positionnement des paquets de donnees 

25 dans le flux TS. Notamment, ce module est capable d'extraire une table 
appelee CAT (de I'anglais "Conditional Access Table" signifiant litteralement 
"table d'acces conditionnel") dans la norme MPEG 2 precitee et qui contient, 
entre autres, les PID identifiant les paquets de donnees contenant les 
messages EMM; 

30 - un module de gestion des buffers qui est un logiciel bas niveaux 

charge d'allouer et de manipuler les buffers utilises pour le stockage des 
paquets qui sont extraits du flux de donnees TS par les filtres 111. 
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Les differentes ressources qui viennent d'etre d6crites sont 
utilises par des applications (des logiciels) qui sont representees par des 
cercles a la figure 3. Enfin, sur la figure 3, on a represente les flux de 
donn6es par des fleches continues et les evenements par des fl6ches en 
5 pointilles. 

Nous nous interesserons dans la suite uniquement aux 
applications qui sont utiles au chargement des droits utilisateur dans le cadre 
de ('invention. 

La premiere application, le module CA est un logiciel specifique d 

10 un prestataire de service et qui implemente le systeme d'acces conditionnel 
de ce prestataire. En effet, il est tres rare que deux prestataires de services 
differents utilisent le meme syst6me d'acces conditionnel. En general, le 
module CA est done un logiciel secret, qui n'est connu que du prestataire de 
sen/ice. Le fabriquant de decodeur le re?oit sous forme de "code objet" 

15 (logiciel compile non comprehensible - par opposition au "code source" - et 
non modifiable tel quel) pour §tre integre au decodeur. 

La deuxieme application, appelee module de memorisation des 
droits MD, est, selon Pinvention, un module applicatif independant du module 
CA avec lequel il ne communique pas directement. Le role de ce module MD 

20 est, comme on le verra ci-dessous, "d'espionner" les configurations de fiitres 
mises en place par le module CA pour etre ensuite capable de recevoir des 
messages EMM destines a une carte a puce qui a ete extraite du decodeur a 
la place du module CA. 

Nous allons maintenant decrire plus precisement les differentes 

25 etapes conduisant au chargement des droits de Tutilisateur sur sa carte a 
puce. 

Lorsque Tutilisateur du decodeur seiectionne un service 
particulier, par exemple une chaine teievisee, le module de recuperation des 
tables de signalisation 101 recupere la table CAT decrite ci-dessus et le 
30 module CA recupere dans cette table (etape A1, Fig. 3) le PID identifiant les 
paquets de donnees dans lesquels sont transmis les messages EMM pour le 
prestataire foumissant le service seiectionne. Le PID est ensuite stocke par 
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le module CA dans la memoire 14 du d6codeur (etape. "STOCKAGE PID" 
A1bis). 

Si nous supposons qu'une carte a puce No. 1 est ins6r6e dans le 
decodeur, alors le module lecteur de carte 112 gen6re un 6v6nement 
5 "CARTE INSEREE" £ l'6tape A2. A la reception de cet evenement, le module 
CA genere un 6venement "LIRE ADRESSE" a l'6tape A3 et obtient. en 
reponse du module lecteur de carte 112, I'adresse de la carte d puce £ 
Tetape A4. 

A I'aide de cette adresse et du PID stocke, le module CA peut 
10 mettre en place une configuration de filtres C1 pour selectionner les 
messages EMM destines £ la carte a puce No. 1 (6tape A5 "POSE 
CONFIG."). 

En se reportant maintenant & la figure 4a f on a represents 
I'ensemble 111 des filtres F1 a Fn disponibles pour les differentes 

15 applications du decodeur. On suppose que le filtre F1 est alloue a une autre 
application, il est done represents de maniere hachuree a la figure 4a. Le 
premier filtre disponible est le filtre F2. Celui-ci est alloue au module CA qui 
met done en place la configuration C1 dans F2. 

En revenant a la figure 3, on suppose maintenant qu'un paquet 

20 contenant un message EMM a ete s6lectionne par le filtre F2 qui le transmet 
(etape A6) au module pilote 102, lequel genere un evenement "EMM RECU" 
a I'attention du module CA (etape A7) qui repond par un evenement "LIRE 
EMM" (etape A8) avant de recevoir le message EMM correspondent (etape 
A9). Le module CA transmet enfin le message EMM au module lecteur de 

25 carte 112 (etape A10) pour que ce dernier le transfere a la carte a puce No. 
1 pour traitement (mise a jour des droits de I'utilisateur memorises dans la 
carte). Les etapes A6 a A10 sont repetees autant de fois que des messages 
EMM destines a la carte a puce No. 1 sont re$us par le filtre F2. 

En considerant maintenant le module MD de Tinvention, celui-ci 

30 surveille en permanence les configurations de filtres qui sont mises en place 
par le module CA et, d6s qu'une nouvelle configuration est posee, comme a 
Tetape A5 pr6cit6e, le module MD recupere cette configuration (etape B1) 
pour la mSmoriser (etape "STOCKAGE CONFIG." B1bis). A la figure 4a, on 
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se trouve a ia ftn de cette derniere etape et on constate que la configuration 
C1 mise en place par le module CA a ete memoris6e par le module MD (voir 
tableau "STOCKAGE MD", colonne "CONFIG."). 

Supposons maintenant que Putilisateur retire la carte a puce No. 

5 1. Un tenement "CARTE EXTRAITE" est alors g6n6r6 par le module 
lecteur de carte 112 (6tape C1). A la reception de cet 6v6nement, le module 
CA efface la configuration de filtre C1 correspondant & la carte retiree (etape 
C2). Le filtre F2 est done libere (Figure 4b). 

Le module MD qui surveille les filtres 111 re?oit alors un 

10 evenement "CONFIGURATION EFFACEE" (etape D1) et remet aussitot en 
place (etape D2) ladite configuration C1 qui avait ete m6morisee a l'6tape 
B1bis precedente. A la figure 4b, on a ainsi represents I'etat des filtres a 
Tissue de cette §tape D2: le filtre F1 est toujours allou6 a une autre 
application du decodeur; le filtre F2 a ete libere par le module CA et le filtre 

is Fi a ete alloue au module MD pour mettre en place ia configuration C1 . 

On notera pour la suite que lorsqu'un filtre est alloue au module 
CA, il est represents sur les figures 4a a 4e par un rectangle en traits gras 
continus, alors que lorsqu'un filtre est alloue au module MD, il est repr6sent6 
par un rectangle en traits gras pointilles. 

20 Grace au module MD de I'invention, les messages EMM destines 

a la carte £ puce No. 1 peuvent done encore etre selectionnSs dans le flux 
de donnees TS par le filtre Fi malgre I'absence de ladite carte dans le 
decodeur. Lorsqu'un tel message EMM destine a la carte No. 1 est 
selectionne, il est transmis au module MD (etape D3) pour etre memorise 

25 dans une mSmoire du decodeur (etape "STOCKAGE EMM" D3bis). 
Avantageusement, les messages EMM sont memorises dans une zone de 
memoire tampon temporaire de la memoire 14 du decodeur. 

En se reportant a la figure 4c, on suppose qu'une carte a puce 
No. 2 est inseree dans le decodeur. Le filtre F2 est done alloue au module 

30 CA pour mettre en place une configuration C2 permettant de selectionner 
des messages EMM destines £ la carte No. 2. Cette configuration C2 est 
aussitot memorisee par le module MD (voir tableau "STOCKAGE MD", 
colonne "CONFIG."). En parallele, le filtre Fi reste alloue au module MD avec 
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la configuration C1 pour r6cuperer les messages EMM destin6s a la carte a 
puce No. 1 qui a 6te extraite. On suppose qu'a la fin de cette 6tape, un 
message EMM1 destine £ la carte No. 1 a ete memorise par le module MD 
(voir colonne "EMM" du tableau "STOCKAGE MD"). 

5 A la figure 4d, on suppose que la carte No. 2 a ete extraite, le filtre 

F2 est done a nouveau libere et le filtre F1 qui se trouvait libre a 6t6 alloue - 
au module MD pour mettre en place la configuration C2 m6moris6e 
precedemment. Le filtre Fi reste quant a lui toujours allou6 au module MD 
avec la configuration C1. 

io Supposons maintenant que I'utilisateur reinsere sa carte a puce 

No. 1 dans le decodeur. Les 6tapes A2 a A5 decrites precedemment sont 
alors executees et un filtre, par exemple le filtre F2 (Figure 4e), est allou6 au 
module CA avec la configuration C1. Le module MD, qui surveille en 
permanence les configurations de filtres mises en place par le module CA, 

is re?oit cette configuration CI (etape E1) et la compare avec celles d6ja 
m6morisees (C1, C2). Comme cette configuration C1 est dej£ memoris6e, le 
module MD verifie ensuite si des messages EMM destines £ la carte a puce 
No. 1 correspondante sont memorises et il trouve le message EMM1. 

Le message EMM1 est alors transmis au module pilote 102 <6tape 

20 E2) comme s'il parvenait directement des filtres 111 (comme lors de I'etape 
A6). Les Stapes A7 a A10 sont alors rejouees et tout se passe, du point de 
vue du module CA, comme si le message EMM1 re$u venait d'etre 
selectionne par le filtre F2 dans le flux de donnees TS. 

Ainsi, grace a ('invention, la mise a jour des droits de I'utilisateur 

25 pour la carte No. 1 est faite m§me si les nouveaux droits ont ete re?us alors 
que la carte ne se trouvait pas inseree dans le decodeur. En outre, un 
avantage important du module MD de invention est qu'il intervient sur les 
differentes ressources du decodeur sans jamais interagir directement avec le 
module CA. Le logiciel du module CA n'a done pas a etre modifie par rapport 

30 aux decodeurs de Tart anterieur. 

Lorsque le message EMM1 est transmis au module pilote 102 par 
le module MD, ce dernier libere en meme temps I'espace memoire reserve 
pour memoriser le message EMM1 (voir colonne "EMM" du tableau 
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"STOCKAGE MD M t Fig. 4e). A la figure 4e, on retrouve en outre le filtre F1 
qui est alloue au module MD avec la configuration C2 et on suppose qu'un 
message EMM2 destin6 a la carte & puce No. 2 a 6t6 re?u et m6moris6 (voir 
colonne "EMM" du tableau pr6cit6). 

5 En ce qui concerne la strategie de liberation des filtres, celle-ci 

depend de I'implementation choisie par le developpeur du decodeur. Par - 
exemple, on peut choisir comme d la figure 4e de Iib6rer le filtre Fi (qui etait 
auparavant allou6 au module MD avec la configuration C1) des qu'un autre 
filtre (ici F2) est alloue avec la meme configuration que Fi. 

io La description du mode de realisation prefere de Tinvention a ete 

faite en utilisant Texemple de la norme de transport de paquets de donn£es 
numerique MPEG 2 mais Tinvention s'applique naturellement dans le cadre 
de toute autre norme de transport de donn6es. 
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REVINDICATIONS 

1 . D6codeur (9) de systeme a acces conditionnel comprenant : 

5 - au moins un dispositif (12) destine a lire et/ou £ ecrire des 

donnees dans un 6l6ment de s£curit6 detachable (10) fourni par un 
prestataire de service; 

- des filtres (11) destines & selectionner au moins un message 
(EMM) de gestion des droits qu'un utilisateur poss&de sur un service fourni 

10 par ledit prestataire parmi un flot de donnees (TS) re?u; 

- un module de controle d'acces (CA) capable de : 

a) recevoir un parametre d'identification (AD) contenu dans 
un element de securite (10) ins6r§ dans ledit decodeur; 

b) mettre en place une configuration (C1, C2) de filtre en 
is fonction du parametre d'identification (AD) re?u de fagon & selectionner un 

message de gestion des droits (EMM) destine audit element de s6curite (10) 
insere; et 

c) transmettre ledit message (EMM) audit element de 

securite ins6r6; 
20 caracteris6 en ce qu'il comporte en outre : 

- un module de memorisation des droits (MD) capable de : 

i) memoriser ladite configuration de filtres (C1, C2) mise en 
place par le module de controle d'acces (CA); 

ii) remettre en place, suite a Peffacement de la configuration 
25 de filtres consecutive au retrait dudit Element de securite, la configuration de 

filtres memorisee appropriee audit element de securite, de fa?on a 
selectionner un message de gestion des droits (EMM) destine audit element 
de securite lorsque ce dernier est retir6; et 

iii) memoriser ledit message (EMM) dans une memoire (14) 

30 dudit decodeur. 

2. Decodeur selon la revendication .1, dans lequel le module de 
memorisation des droits (MD) est en outre capable de : 
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iv) detecter I'insertion d'un 6I6ment. de s6curit6 dans ledit 

d6codeur; 

v) verifier si un message de gestion des droits (EMM) 
destine audit element de securite insere est memorise dans la memoire (14) 

5 du decodeur; et 

vi) en cas de verification positive, transmettre ledit message 
(EMM) memorise audit 6l6ment de securite insert. 

3. Decodeur selon la revendication 2, dans lequel le module de 
io memorisation des droits (MD) detecte I'insertion d'un element de security 

(10) dans le decodeur en enregistrant toute nouvelle mise en place de 
configuration de filtres par le module de controle d'acces (CA). 

4. Decodeur selon Tune des revendications 1 £ 3, dans lequel 
15 Tetement de securite detachable (10) est une carte a puce. 

5. Decodeur selon la revendication 4, dans lequel le parametre 
d'identification (AD) contenu dans I'element de security est Padresse de la 
carte a puce. 

20 

6. Procede de traitement de message (EMM) de gestion des 
droits qu'un utilisateur possede sur un service, ledit procede comprenant les 
etapes consistant a : 

- insurer un element de securite detachable (10) dans un 
25 decodeur (9); 

- recuperer (A3, A4) dans ledit element de securite un parametre 
d'identification (AD); 

- mettre en place (A5) une configuration de filtre du decodeur en 
fonction dudit parametre d'identification (AD) de fa?on a selectionner un 

30 message de gestion des droits (EMM) destine audit 6lement de securite 
insere; 

- transmettre (A6-A10) ledit message (EMM) audit 6l6ment de 
securite insere, 
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caract6ris6 en ce que P6tape de mise en place de la configuration 
de filtre approprtee audit element de securite est suivie d'une 6tape de 
memorisation (B1 t B1bis) de ladite configuration et en ce que, lorsque ledit 
Element de security (10) est retir6 du decodeur, provoquant Peffacement 
5 (C2) de ladite configuration de filtres, la configuration de filtres appropriee a 
Element de securite retire est remise en place (D2) a partir de la - 
configuration nrtemorisee lors de P§tape de memorisation de fa9on a 
. s6lectionner un message de gestion des droits (EMM) destin6 audit 6l6ment 
de securite retire. 

10 

7. Proced6 selon la revendication 4, caracterise en ce qu'il 
comporte une etape supplemental (D3, D3bis) consistant a memoriser 
dans une memoire (14) du d6codeur ledit message de gestion des droits 
(EMM) destine audit element de securite retite lorsqu'un tel message est 

15 selectionne. 

8. Procede selon la revendication 5, caracteris6 en ce qu'il 
comporte en outre les 6tapes consistant £ : 

- reinsurer ledit element de securite (10) dans le decodeur; 

20 - verifier si un message de gestion des droits (EMM) destine audit 

element de securite insure est memorise dans la memoire (14) du decodeur; 
et 

- en cas de verification positive, transferer ledit message (EMM) 
memorise audit Element de securite insere. 



25 



WO 00/16557 



PCT/FR99/02174 



1/3 



11 



20 



DEMULTIPLEX EUR 



FILTRES 



BUFFER 



MICROCONTROL EUR 
16 



t 



TS 



TUNER 
DEMODULATEUR 



17 



18 



MEMOIRE 



14 



INTERFACE 

O 



•12 



DECODEUR 



CARTE 
A 

PUCE 



V10 



FIG.1 



PI D 



DONNEES PRIVEES 



7 



AD 



DROITS 



SIGN 



EMM 



FIG. 2 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 00/16557 PCT/FR99/02174 

2/3 



MODULE DE RECUPERATION DES 
TABLES DE SIGNAL I SATION 



101 



STOCK AGE PID 



ca_rte)insere 



LECTEUR 

DE 
CARTE 
A 

PUCE 



LIRE ADRESSE 

Af 3~ A3 
<> AD 



EMM 



— 

XARIE^ 



C1 >10 




E CONFIG.^ 



^ 1 III . 



Ill, 



112 



A7/ l Si 
W] 1 



102 



MODULE DE 
GESTION DES 
BUFFERS 



EMM 



A6 



«\6URATI0N EFFACEE 
^ t-"D1 ~~ 
^FIGURATION 




^B1 



POSE CONFIG. 
EMM 

IT 



I 



m 



FILTRES 



B1 bis 



STOCKAGE CONFIG. 



D3btS 



STOCKAGE EMM 



FIG.3 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 00/16557 



3/3 



PCT/FR99/02174 



o 


z 




X 


UJ 




UJ 






o 






< 


6 






iZ 




g 


z 






8 





o 


Z 




X 


z 






UJ 




UJ 






o 










KA 






8 


LL 






z 


o 


to 


o 




u 







o 
z 

UJ 

o 
< 

u 

8 

IS) 



Z 
2 



Z 

o 



uu 



c 




CM 



o 

o 

Ll. 



I — 1 



• u 



I 




JO 
Q 



i 
i 

i i 



c 



CM 



u 



c 



I 
I 

I J 



I 
I 



I 

I J 



CM 



CM 



i i 



S2 



FfUllU DE 



INTERNATIONAL SEARCH REPORT 



Into onal Application No 

PCT/FR 99/02174 



A. CLASSIFICATION OFSUBJECT MATTER , 

IPC 7 H04N7/167 G07F7/10 



According to International Patent Classification (IPC) or to both national classification and IPC 



B. FIELDS SEARCHED 



Minimum documentation searched (classification system followed by classilicalion symbols) 

IPC 7 G07F H04N 



Documentation searched other than minimum documentation to the e«tent that aich documents are included in the fields searched 



Electronic data base consulted during the international search (name of data base and, where practical, search terms used) 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category • 



Citation of document, with indication, where appropriate, of the relevent passages 



Relevant to daim No. 



SCHOONEVELD VAN D: "STANDARDIZATION OF 
CONDITIONAL ACCESS SYSTEMS FOR DIGITAL PAY 
TELEVISION" 

PHILIPS JOURNAL OF RESEARCH, 
vol. 50, no. 1/02, 

1 July 1996 (1996-07-01), pages 217-225, 
XP000627672 

page 218, line 12 -page 219, line 10 

EP 0 817 485 A (THOMSON MULTIMEDIA SA) 
7 January 1998 (1998-01-07) 
abstract; claims; figures 

WO 98 09257 A (GEMPLUS CARD INT) 
5 March 1998 (1998-03-05) 
abstract; claims; figures 
page 7, line 12 -page 8, line 18 

-/-- 



1,6 



1.6 



16 



m 



Further documents are listed in the continuation of box C. 



Patent family members are listed in annex. 



* Special categories of cited documents : 

"A" document defining the general state of the art which is not 

considered to be of particular relevance 
"E" earlier document but published on or after the international 

filing date 

V document which may throw doubts on priority claim (s) or 
which is cited to establish the publication date of another 
citation or other special reason (as specified) 

"O" document referring to an oral disclosure, use, exhibition or 
other means 

"P" document published prior to the international filing date but 
later than the priority date claimed 



later document published after the international filing date 
or priority date and not in conflict with the application but 
cited to understand the principle or theory underlying the 



"X" document of particular relevance: the claimed invention 
cannot be considered novel or cannot be considered to 
involve an inventive step when the document is taken alone 

"Y" document of particular relevance; the claimed invention 

cannot be considered to involve an inventive step when the 
document is combined with one or more other such docu- 
ments, such combination being obvious to a person skilled 
in the art. 

document member of the same patent family 



Date of the actual completion of the international search 

20 December 1999 


Date of mailing of the international search report 

12/01/2000 


Name and mailing address of the ISA 

European Patent Office. P.B. 561 6 Patentlaan 2 
NL - 22B0 HV Rijswijk 
Tel. (431-70) 340-2040. Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 


Authorized officer 

Meyl, D 



Form PCT/ISAC10 (second shoal) (Jury 1992) 



page 1 of 2 



INTERNATIONAL SEARCH REPORT 



Into ,onal Application No 

PCT/FR 99/02174 



C.(Continuatlon) DOCUMENTS CONSIDERED TO BE RELEVANT 



Category ° Citation of document, with <ndication.where appropriate, ol the relevant passages 



Relevant to claim No. 



EP 0 723 371 A (THOMSON MULTIMEDIA SA) 
24 July 1996 (1996-07-24) 
abstract; figures 

WO 96 06504 A (CHANEY JOHN WILLIAM 
; THOMSON CONSUMER ELECTRONICS (US)) 
29 February 1996 (1996-02-29) 
abstract; figures 

C0UTR0T F ET AL: "A SINGLE CONDITIONAL 
ACCESS SYSTEM FOR SATELLITE-CABLE AND 
TERRESTRIAL TV" 

IEEE TRANSACTIONS ON CONSUMER ELECTRONICS, 
vol. 35, no. 3, 

1 August 1989 (1989-08-01), pages 464-468, 
XP000065971 

US 5 619 501 A (CHANEY JOHN U ET AL) 
8 April 1997 (1997-04-08) 



1,6 



1,6 



Form PCT7ISA/210 (continuation ot second sheet) {July 1992) 



page 2 of 2 



INTERNATIONAL SEARCH REPORT 

.. i format (on on patent family members 



Intel *nal Application No 

PCT/FR 99/02174 



Patent document 




Publication 




Patent family 




Publication 


cited in search report 




date 




members) 




dale 


tr Uol/HOD 


A 

A 


U/-U1-1990 


r R 


2750554 


A 


AO A1 i nrtn 

02-01-1998 








CN 


1171015 


A 


21-01-1998 








JP 


10164052 A 


19-06-1998 


WO 9809257 


A 


05-03-1998 


US 


5923884 


A 


13-07-1999 








AU 


4842897 


A 


19-03-1998 








r a 

CA 


2233217 


A 


05-03-1998 








Er 


0858644 A 


1 A AO 1 AAA 

19-08-1998 


tr yjfcSSfl 


A 

A 


Z4-0/-199O 


pn 

FK 


2729521 


A 


1 A m 1 aa* - 

19-07-1996 








ID 
JP 


8307850 


A 


22-11-1996 


\Af\ C%Cf\HCf\A 

WO 9o0obU4 


A 


OA A 1 1 A AC 

Z9-0Z-1996 


A 1 1 

AU 


3238595 


A 


OA AO < a a ^ 

22-03-1996 








AU 


701593 


B 


04-02-1999 








A 1 1 

AU 


3239495 


A 


14-03-1996 








BR 


9508621 


A 


30-09-1997 








BR 


9508622 


A 


19-05-1998 








CA 


2196406 


A 


07-03-1996 








CA 


2196407 


A 


29-02-1996 








CN 


1158202 


A 


27-08-1997 








CN 


1158203 


A 


27-08-1997 








EP 


0878088 


A 


18-11-1998 








EP 


0782807 


A 


09-07-1997 








FI 


970677 


A 


18-02-1997 








JP 


10506507 


T 


23-06-1998 








JP 


10505720 


T 


02-06-1998 








PL 


318647 


A 


07-07-1997 








WO 


9607267 


A 


07-03-1996 


US 5619501 


A 


08-04-1997 


CA 


2188127 


A 


02-11-1995 








CN 


1151233 


A 


04-06-1997 








CN 


1167405 


A 


10-12-1997 








DE 


69505369 


D 


19-11-1998 








DE 


69505369 


T 


15-04-1999 








EP 


0756801 


A 


05-02-1997 








EP 


0858222 


A 


12-08-1998 








ES 


2123243 


T 


01-01-1999 








JP 


9512675 


T 


16-12-1997 








WO 


9529560 


A 


02-11-1995 








US 


5802063 


A 


01-09-1998 





Form PCT/1SA/210 (patent famfly annex) (July 1992) 



RAPPORT DE RECHERCHE INTERNATIONALE 



Der le Internationale No 

PCT/FR 99/02174 



A. CLASS EMENT DE L'OBJET OE LA OEMANOE 

CIB 7 H04N7/167 G07F7/10 



Selon la classification intemationale des brevets (CIB) ou a la tots selon la classification nationals et la CIS 



B. DOMAINES SUR LESOUELS LA RECHERCHE A PORTE 



Documentation minim ale con suttee (sysleme de classification suivi des symbotes de classementj 

CIB 7 G07F H04N 



Documentation consultee autre que la documentation minimale dans la mesure oil ces documents relevent des domaines sur league is a porte la recnerche 



Base de donnees electronique consultee eu cours de la recherche intemationale (nom de la base de donnees. et si realisable, termes de recherche utilises) 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie * 


Identification des documents cites, avec. le cas echeant, {'indication des passages pertinents 


no. des revendications vtsees 


A 


SCH00NEVELD VAN D: "STANDARDIZATION OF 
CONDITIONAL ACCESS SYSTEMS FOR DIGITAL PAY 
TELEVISION" 

PHILIPS JOURNAL OF RESEARCH, 

vol. 50, no. 1/02, 

1 juillet 1996 (1996-07-01), pages 

217-225, XP000627672 

page 218, ligne 12 -page 219, ligne 10 


1,6 


A 


EP 0 817 485 A (THOMSON MULTIMEDIA SA) 
7 janvier 1998 (1998-01-07) 
abrege; revendications; figures 


1,6 


A 


W0 98 09257 A (GEMPLUS CARD INT) 
5 mars 1998 (1998-03-05) 
abrege; revendications; figures 
page 7, ligne 12 -page 8, ligne 18 

-/- 


16 



| x| Voir la suite du cadre C pour la fin de la lists des documents 



Les documents de families de brevets sont indiques en annexe 



0 Categories epeciaJes de documents rites: 

"A" document deftnissant I'etat general de la technique, non 
constdere comme particulierement pertinent 

"E" document anterieur. mais pubiie a la date de depot international 
ou apres cette date 

V document pouvant jeter un doute sur une revendication de 
priori t e ou rite pour determiner la date de publication d'une 
autre citation ou pour une raison specials (telle qu'indiquee) 

*O a document se referent a une divulgation orate, a un usage, a 
une exposition ou tous autres moyens 

"P" document pubiie avant la date de depot international, mats 
posterieurement a la date de priorite revendiquee 



"T" document utterieur pubiie apres la date de depot international ou la 
date de priorite et n'appartenenant pas a I'etat de la 
technique pertinent, mais cite pour comprendre le principe 
ou la theorie constituant la base de llnventlon 

"X" document particulierement pertinent: I'inven tion revendiquee ne peut 
etre consideree comme nouvelle ou comme impliquant une activite 
inventive par rapport au document consider© isolement 

"Y" document particulierement pertinent: I'inven tion revendiquee 
ne peut etre consideree comme impliquant une activite inventive 
lorsque le document est associe a un ou plusieurs autres 
documents de me me nature, cette oombtnalson etant evtdente 
pour une personne du metier 

"&* document qui fait partie de la meme familie de brevets 



Date a laquelle la recherche intemationale a ete effect ivemenl achevee 

20 decembre 1999 


Date d'expedition du present rapport de recherche intemationale 

12/01/2000 


Nom et adresse postaie de {'administration chargee de la recherche intemationale 
Office Europe en des Brevets, P.B. 5616 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (431-70) 340-2040. Tx. 31 651 epo nl. 
Fax: (431-70)340-3016 


Fonctionnaire autorise 

Meyl, D 



Formutalre PCT71SA/2t0 (cteuxfeme teuiite) (jufOel 1992) 



page 1 de 2 



RAPPORT DE RECHERCHE INTERNATIONALE 



Oer. <8 Internationale No 

PCT/FR 99/02174 



C.(aulte) DOCUMENTS CONSIDERES COMME PERTINENTS 



Categoric * Identification des documents cites, avec.le cas echeam. I'indicatlondes passages pertinents 



no. des revindications visees 



EP 0 723 371 A (THOMSON MULTIMEDIA SA) 
24 juillet 1996 (1996-07-24) 
abrege; figures 

WO 96 06504 A (CHANEY JOHN WILLIAM 
; THOMSON CONSUMER ELECTRONICS (US)) 
29 fevrier 1996 (1996-02-29) 
abrege; figures 

C0UTR0T F ET AL: "A SINGLE CONDITIONAL 
ACCESS SYSTEM FOR SATELLITE-CABLE AND 
TERRESTRIAL TV" 

IEEE TRANSACTIONS ON CONSUMER ELECTRONICS, 
vol. 35, no. 3, 1 aoQt 1989 (1989-08-01), 
pages 464-468, XP000065971 

US 5 619 501 A (CHANEY JOHN W ET AL) 
8 avril 1997 (1997-04-08) 



1,6 



1,6 



Fofmutatre PCT/lSA/210 (suite do ta douxieme lauflte) (juillel 1992) 



page 2 de 



2 



RAPPORT DE RECHERCHE INTERNATIONALE 

Renselgnements reiatlfs t,-* membresde families de brevets 



Den e Internationale No 

PCT/FR 99/02174 



Document brevet cite 




Date de 


Membre(s) de la 




Date de 


au rapport de recherche 




publication 


famine de brevet(s) 




publication 




A 


07-01-1998 


FR 


2750554 


A 


02-01-1998 






CN 


1171015 


A 


21-01-1998 






JP 


10164052 A 


19-06-1998 


WO 9809257 


A 


05-03-1998 


US 


5923884 


A 


13-07-1999 






AU 


4842897 


A 


19-03-1998 






CA 


2233217 


A 


05-03-1998 






EP 


0858644 


A 


19-08-1998 


cp n7?n7i 
tr \iiciiii 


A 


24-07-1996 


FR 


2729521 


A 


19-07-1996 






JP 


8307850 A 


22-11-1996 


lid a&n£cn/i 
wu youoDiw 


A 


29-02-1996 


AU 


3238595 


A 


22-03-1996 






AU 


701593 


6 


04-02-1999 






AU 


3239495 


A 


14-03-1996 






BR 


9508621 


A 


30-09-1997 






BR 


9508622 


A 


19-05-1998 






CA 


2196406 


A 


07-03-1996 






CA 


2196407 


A 


29-02-1996 






CN 


1158202 


A 


27-08-1997 






CN 


1158203 


A 


27-08-1997 






EP 


0878088 


A 


18-11-1998 






EP 


0782807 


A 


09-07-1997 1 






FI 


970677 


A 


18-02-1997 






JP 


10506507 


T 


23-06-1998 






JP 


10505720 


T 


02-06-1998 






PL 


318647 


A 


07-07-1997 






WO 


9607267 


A 


07-03-1996 


lie ceincm 
U5 3019901 


A 


08-04-1997 


CA 


2188127 


A 


* — — — —————— 

02-11-1995 






CN 


1151233 


A 


04-06-1997 






CN 


1167405 


A 


10-12-1997 






DE 


69505369 


D 


19-11-1998 






DE 


69505369 


T 








EP 


0756801 


A 


05-02-1997 






EP 


0858222 


A 


12-08-1998 






ES 


2123243 


T 


01-01-1999 






JP 


9512675 


T 


16-12-1997 






WO 


9529560 


A 


02-11-1995 






us 


5802063 


A 


01-09-1998 



Formulate PCT/ISA/21 0 (oxneve tan Hies de brevets) Quillet 1992) 



